Immer weniger Unternehmen verfügen über die Ressourcen und das Know-how, um gegen alle Bedrohungslagen gewappnet zu sein. Im Interview mit dem Midrange Magazin (MM) stellt Philip Reetz, Fachbereichsleiter IT-Security bei der Netzlink Informationstechnik GmbH, die Vorteile der „Managed Security Services“ heraus.

MM: Warum können die meisten Unternehmen heutzutage nicht mehr allein den Bedrohungen Herr werden?

Reetz: Der gestiegene digitale Austausch von Informationen und die zunehmende Verzahnung mit und Integration von Cloud-Diensten stellt neue, höhere Ansprüche an das Sicherheitsniveau in Unternehmen. Dadurch nehmen die möglichen Angriffsszenarien zu, und eine einfache Firewall und Virenscanner reichen nicht mehr aus. Die Bedrohungen werden zunehmend komplexer und verändern dabei ihre Erscheinungsweise. Der Gesetzgeber wiederum stellt Anforderungen an den Schutz der IT und dessen Nachweis, was sowohl den operativen IT-Betrieb als auch die IT-Prozesse zum Handeln zwingt.

Philip Reetz, Fachbereichsleiter IT-Security bei der Netzlink Informationstechnik GmbH: „Mit in Kraft treten der EU-DSGVO wird es für alle Unternehmen noch wichtiger, die eigenen Bemühungen im Schutz der IT-Infrastruktur zu erhöhen.“
Quelle: Netzlink

MM: Welche Vorteile kommen mit den „Managed Security Services“ ins Spiel?

Reetz: Zum einen kann sich das Unternehmen auf seine eigentliche Kernkompetenz konzentrieren, weil ihm die wiederkehrenden Aufgaben in diesem Bereich abgenommen werden. Zum anderen werden nicht nur die verschiedenen Sicherheitssysteme von Spezialisten administriert und die Sicherheitskonzepte laufend weiterentwickelt. Es geht vielmehr um proaktive Services, die auch z.B. die hinter eine Firewall liegenden Systeme im Blick behalten, Schwachstellen und mögliche Eintrittspforten für Bedrohungen frühzeitig erkennen und sie beheben, bevor ein Schaden entstehen kann. Ein Vorteil ist dabei auch, dass die getroffenen Sicherheitsmaßnahmen fortlaufend auf ihre Wirksamkeit überprüft und dokumentiert werden. Auch die Anwender werden einbezogen, um unternehmensweit ein Bewusstsein für die Bedeutung von IT-Sicherheit zu schaffen. Es müssen alle Anwender für mögliche Gefahrenquellen sensibilisiert werden, um dann als gesamte Organisation auf Bedrohungen vorbereitet zu sein.

MM: Wie sicher ist es, wenn derartig kritische Aufgaben an einen Dienstleister übertragen werden – und wie kann sich ein Anwenderunternehmen dabei absichern?

Reetz: Wie bei allen Managed Services ist für die Zusammenarbeit gegenseitiges Vertrauen notwendig. Gerade bei Sicherheitsthemen erhält der Dienstleister einen sehr tiefen Einblick in die Struktur des Unternehmens. Um ein Gefühl dafür zu erhalten, ob er die eigenen Ansprüche erfüllen kann, bieten sich kleinere Pilotprojekte an, bei denen der Kunde nicht alle sensiblen Bereiche offenlegen muss. Vielleicht gibt es auch Referenzen, über die man mehr erfahren kann und die einen kleinen Einblick geben, wie der Dienstleister vorgeht, mit welchen Partnern er zusammenarbeitet und wie viel Erfahrung er auf dem Gebiet bereits vorweisen kann.

MM: Mit welchen Auswirkungen rechnen Sie im Bereich der Managed Security Services, wenn Ende Mai 2018 alle Unternehmen den Anforderungen seitens der Europäischen Datenschutzgrundverordnung – EU-DSGVO – genügen müssen?

Reetz: Damit wird es für alle Unternehmen noch wichtiger, die eigenen Bemühungen im Schutz der IT-Infrastruktur und damit der relevanten Daten nachweisen zu können. Der gesetzliche Rahmen wird genauer und konkreter definiert. Auch das IT-Sicherheitsgesetz gibt Verpflichtungen vor, Sicherheitsrichtlinien einer IT-Umgebung einzuhalten. Die Beauftragung eines externen Dienstleisters im Rahmen von „Managed Security Services“ hilft bei diesem Nachweis. Allerdings werden derzeit von diversen Anbietern wahre Horrorszenarien von Bußgeldern an die Wand gemalt. Wichtig ist, dass die Motivation für größere Bemühungen in diesem Bereich auch wirklich von innen kommen. Ob man alle Maßnahmen selber entwickeln und umsetzen kann oder externe Unterstützung zu einzelnen Aspekten benötigt, bleibt eine individuelle Entscheidung. Ich erwarte trotzdem in den nächsten Monaten einen deutlichen Anstieg der Anfragen nach „Managed Security Services“ und der Security Audits.